Mes amis Paul et Robin Laudanski de CastleCops subissent une énorme attaque DDoS depuis plus d'une semaine. L'attaque a provoqué des charges malveillantes soutenues supérieures à 1 Go / s.
[Roger[Roger[Roger[RogerLa rubrique de Grimes est désormais un blog! Recevez les dernières nouvelles en matière de sécurité informatique sur le blog Security Adviser. ]
Bien que ce nombre soit incroyable en soi, il est juste au-dessus de la moyenne. Certaines attaques DDoS atteignent 10 Go / s et durent des mois. De nombreux sites Web, y compris ceux dédiés à la lutte contre le spam, le phishing et les logiciels malveillants en général, ont été complètement repoussés d'Internet pour toujours par des attaques DDoS. Les méchants ont souvent gagné.
J'ai parlé à VeriSign de la dernière attaque de serveur racine DNS dans la colonne de la semaine dernière et j'ai mentionné que j'étais surpris d'apprendre que l'infrastructure DNS n'est toujours pas plus résistante aux attaques DDoS, même après toutes ces années et ces attaques. Avec ces informations et la situation de CastleCops à l'esprit, j'ai pensé que c'était le bon moment pour couvrir les botnets et les attaques DDoS.
Bots sur le cerveau
Les bots sont les versions C&C (commande et contrôle) les plus intelligentes du cheval de Troie d'accès à distance d'hier. Il existe une architecture définitive pour les bots, les filets de bot et leurs dégâts. Les bots sont codés par un individu ou une équipe. Plusieurs bots récemment désassemblés ont révélé une architecture de développement qui rivalise avec les projets d'application légitimes avec des phases, des tests, une correction de bogues et des fourchettes de développement.
La plupart des bots utilisent une ou plusieurs attaques pour pénétrer dans des machines distantes. Les vulnérabilités corrigées et non corrigées de Microsoft sont populaires du côté client; les programmes PHP défectueux sont une cible courante pour compromettre les serveurs Web. Le bot est souvent codé selon une spécification particulière (ce qu'il fera, comment il s'introduit, etc.) d'un demandeur malveillant ou créé et vendu de manière spéculative comme des investissements dans le logement dans le monde physique.
Une fois codé, le bot est utilisé pour compromettre plusieurs machines et créer un réseau de bots (ou botnet). Le nombre de PC exploités dans un botnet peut aller de quelques milliers à plus de 100 000 machines, toutes sous le commandement et le contrôle d'une seule personne (ou d'une équipe). Plusieurs experts ont émis l'hypothèse que jusqu'à un quart de tous les ordinateurs sur Internet pourrait être sous le contrôle d'un bot à un moment donné.
Les bots sont mis à jour automatiquement et se déplacent toujours. Lorsqu'ils s'introduisent par effraction dans un ordinateur, ils modifient immédiatement par malveillance l'hôte puis contactent un autre site précédemment exploité (appelé «vaisseau mère») pour télécharger plus de code. Le programme nouvellement téléchargé contacte alors un autre serveur, et le cycle se poursuit encore et encore jusqu'à ce que le programme final reçoive ses instructions (DDoS, spam, vol de mot de passe, etc.).
Tous les bots d'un botnet sont exécutés à partir d'une poignée de serveurs mères, appelés serveurs C&C. Les pirates se connectent aux serveurs C&C pour envoyer des instructions aux ordinateurs compromis. Supprimez les serveurs C&C et vous avez effectivement tué le botnet ou le contrôle du pirate sur le botnet – au moins temporairement.
Le botnet est ensuite utilisé par l'attaquant (ou vendu ou loué) pour accomplir une sorte d'activité malveillante. Les attaques par déni de service sont très courantes, mais les robots peuvent également voler les mots de passe des utilisateurs, envoyer des courriers indésirables ou du phishing, renifler du trafic, voler des identités ou affecter le résultat des sondages en ligne (certaines personnes pensent que c'est ainsi que Ruben a vaincu Clay).
DDoS Défenses
Un réseau de 30 000 bots peut facilement générer 1 Go / s de trafic malveillant, comme le sait malheureusement CastleCops. Combien de sites Web peuvent résister à ce type d'attaque? Pas beaucoup, mais il existe des défenses au-delà de la simple augmentation de la bande passante.
La défense la plus courante consiste à filtrer le mauvais trafic au niveau du routeur du site Web ou du voisin en amont. Au moment où elle est filtrée sur le site Web, l'attaque DDoS affecte généralement déjà tous les autres serveurs et clients partageant le même canal de bande passante ISP, donc le filtrage en amont est meilleur pour tous. Malheureusement, cela nécessite une coordination supplémentaire, et tous les FAI n'ont pas les ressources pour faire face aux attaques DDoS.
En outre, il peut être difficile de faire la différence entre le trafic légitime et le trafic malveillant, et les robots utilisent souvent des adresses IP d'origine falsifiées pour le rendre encore plus difficile. Les attaques DDoS utilisant des adresses IP usurpées peuvent être arrêtées avec le filtrage de sortie du FAI, comme détaillé dans RFC 2827, écrit en mai 2000 par mon ami Paul Ferguson.
Malheureusement, cela fait sept ans et la majorité des FAI n'ont pas encore mis en œuvre les instructions de base de la RFC 2827. Je n'ai aucun espoir qu'ils le feront sans réglementation gouvernementale.
Un botnet peut également utiliser des adresses IP légitimes ou envoyer des demandes qui imitent des demandes légitimes. Certaines attaques DDoS sont appelées attaques de récursivité HTTP car elles prétendent être un client légitime mais demandent toutes les pages Web possibles, accablant ainsi le serveur.
Ces attaques sont spécifiquement personnalisées pour la cible du site Web et demandent des pages qui existent réellement sur le serveur. Ils envoient également des demandes à un rythme lent, de une par seconde à une par minute, bien sûr multiplié par des dizaines de milliers de clients demandeurs malveillants. L'idée est de forcer les demandes d'apparence très légitime, qui sont difficiles à filtrer en masse sans affecter les demandes des clients légitimes.
Passez votre temps à vous protéger contre les attaques HTTP et l'attaquant supprimera simplement vos services DNS ou le routeur en amont. Attrapez le criminel et il y a de fortes chances qu'ils soient traités plus durement pour un DUI que pour perturber votre entreprise.
Je suis surpris et attristé que nos défenses anti-DDoS ne se soient pas considérablement améliorées au cours de la dernière décennie. Bien sûr, il existe de nombreux fournisseurs et solutions anti-DDOS, mais comme beaucoup d'autres défenses, ils ont du mal à implémenter une solution solide à tous les niveaux. La vraie faiblesse est notre Internet non authentifié. Mais comme Paul et Robin de CastleCops l'ont dit, "Nous sommes là pour le long terme. Nous n'allons pas être intimidés. Nous n'allons pas partir."
Commentaires
Laisser un commentaire